Хакер викрав майже мільйон доларів в ефіріумі, скориставшись криптовалютним міксером Tornado Cash

Компанія з безпеки блокчейну PeckShield опублікувала попередження про хакера, який 25 вересня викрав 732 ETH, що еквівалентно сумі близько 950 000 доларів США. Кошти викрали з адреси, створеної за допомогою генератора Ethereum-гаманців Profanity. Крадену криптовалюту хакери вивели за допомогою підсанкційного криптовалютного міксера Tornado Cash.

#PeckShieldAlert Seems like $ 950k worth of crypto has been stolen by 0x9731 °F from Ethereum «vanity address» generated with a tool called Profanity. The exploiter already transferred ~732 $ETH into Mixer pic.twitter.com/QOZfnE49H4

— PeckShieldAlert (@PeckShieldAlert) September 26, 2022

Уразливість Profanity виявили на сайті GitHub ще у січні, проте лише зараз вона стала широко відома завдяки команді 1inch Network. Як пояснили розробники, інструмент дозволяв генерувати легкочитні Ethereum-адреси (або vanity-адреси), що містять слова, імена або фрази. Експерти 1inch Network попередили, що ключі до таких адрес можна підібрати брутфорсом — систематичним перебором всіх можливих комбінацій символів. До слова, цей інцидент став третім за місяць розкраданням коштів із vanity-адрес.

Ще на початку вересня децентралізована біржа (DEX) 1inch Network попередила членів криптовалютної спільноти, що їхні адреси небезпечні, особливо якщо вони створені за допомогою ненормативної лексики. Після попереджень DEX дослідник блокчейну ZachXBT оголосив, що використання вразливостей у генераторі криптовалютних гаманців Profanity вже дозволило хакерам отримати цифрові активи на суму понад 3,3 мільйона доларів.

Зазначимо, що українські хакери також вдаються до такого типу експлойтів, хоча західні програмісти і називають його застарілим та навіть архаїчним. Так нещодавно у Львові прокуратура передала обвинувальний акт до суду на мешканця Херсонської області, який за допомогою брутфорсу отримував доступи до ряду профілів користувачів Інтернету та продавав їх у даркнеті за криптовалюту.